Apple : en trois mois, cinq hackers dénichent 55 bugs et gagnent 288 500 dollars de récompense

09 octobre 2020 à 16h13
13
apple

D’abord rémunérés 51 500 dollars, la médiatisation de leur histoire a poussé Apple à sortir le chéquier pour accorder une rétribution un peu plus conséquente…

Si vous êtes doué en informatique et que vous envisagiez de mettre à profit vos compétences dans des programmes de primes aux bugs, l’histoire de cinq pirates informatiques ayant amassé 288 500 dollars en trois mois de travail pour Apple devrait vous intéresser. Mais au départ, leurs émoluments étaient nettement moins conséquents.

55 vulnérabilités trouvées, certaines très critiques

Leur nom : Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb, Tanner Barnes. À l’origine, les cinq individus considéraient cette activité de recherche de bugs comme un moyen de glaner un peu d’argent supplémentaire pendant leur temps libre. Mais au fil des semaines, cette occupation est devenue une vraie besogne.

« Lorsque nous avons commencé ce projet, nous n'avions aucune idée du fait que nous allions passer un peu plus de trois mois pour le mener à bien », rapporte Sam Curry. « À l'origine, il devait s'agir d'un projet parallèle sur lequel nous travaillions de temps en temps, mais avec tout le temps libre supplémentaire que nous avons eu pendant la pandémie, nous avons fini par y consacrer quelques centaines d'heures ».

Pour Apple, l’équipe a déniché plus d’une cinquantaine de vulnérabilités, 55 pour être précis, dont certaines potentiellement très dangereuses. L’une permettait l’introduction d’un ver informatique capable de dérober automatiquement toutes les photos, vidéos et documents d’un compte iCloud. Une autre donnait la possibilité d’accéder aux codes sources d’Apple de plusieurs centaines d’application…

Vertueusement, les cinq pirates ont rapporté tous ces bugs à Apple qui s’est bien sûr empressé de les corriger. En guise de dédommagement, la marque à la pomme leur avait initialement reversé 55 100 dollars.

Finalement, Apple augmente la prime versée

Si cela représente une somme déjà conséquente, vous l’imaginez, elle est carrément dérisoire pour Apple et finalement assez peu élevée par rapport au travail fourni, à la fois en matière de temps consacré à cette tâche et des compétences requises.

Un rapide petit calcul donne un bon aperçu : 5 personnes, 55 vulnérabilités trouvés, 55 100 dollars, cela correspond environ à 200 dollars par faille trouvée par personne. Ramené sur trois mois, c’est donc un salaire d’à peine 3 675 dollars par tête.

Selon Dan Tentler, le fondateur de la société de sécurité Phobos, ce montant est « incroyablement bas ». Il explique : « 50 000 dollars est le montant que je m'attends à voir dans une évaluation de sécurité de deux à quatre semaines, mais les problèmes découverts par ces personnes incroyablement talentueuses valent des ordres de grandeur plus importants. Imaginez qu'un acteur malveillant découvre ces problèmes. Imaginez l'ampleur des dégâts. Apple signale que tout cela ne vaut que 50 000 dollars pour eux. Pour moi, c'est de la folie, et cela contredit toutes leurs énormes campagnes de marketing public sur la façon dont ils prennent la vie privée et la sécurité au sérieux ».

Depuis, Apple a octroyé davantage d’argent. La somme s’élève désormais à 288 500 euros. Sam Curry précise que l’entreprise leur a payé des récompenses pour 32 des 55 bugs signalés.

Des programmes « bug bounty » qui entraînent une certaine paupérisation ?

Toujours est-il que cette histoire en dit long sur ces programmes de « bug bounty », cadre dans lequel s’inscrit l’Apple Bug Bounty lancé il y a quatre ans. Pour les experts en cybersécurité, les recherches demandent souvent beaucoup d’investissement, et elles sont rarement payées à leur juste valeur. Sur Twitter , un ancien employé d’Apple s’amuse d’ailleurs du fait que « ces chasseurs sont vraiment une main-d'œuvre bon marché ».

Une situation dénoncée par le cabinet de conseil en cybersécurité Trail of Bits qui, dans un billet publié l’année dernière, s’insurgeait « qu’essayer de gagner sa vie en tant que programmeur en participant aux programmes de primes sur les bugs revient à se convaincre que l'on est assez bon au Texas Hold 'Em [Poker] pour quitter son emploi. »

Mais selon Katie Moussouris, spécialiste de ce genre de pratiques, « la vraie question est de savoir pourquoi Apple ne paye pas le même montant à des testeurs professionnels, en leur donnant la documentation technique au lieu de les laisser tâtonner et de leur faire perdre leur temps, afin qu’ils trouvent les mêmes choses voire plus en beaucoup moins de temps ».

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
13
11
Peter_Vilmen
Question, est-ce que vendre des vulnérabilités aux services de renseignement est illégal, ou y-a-t-il une exception ? Si c’est légal, ils se sont trompé de client
GRITI
Quelle radinerie quand on connaît l’argent dont dispose Apple! Cela en dit long sur la mentalité d’Apple.<br /> N’en déplaise aux fans, à ceux qui défendent le fait que les entreprises ont pour but de gagner de l’argent ou à ceux qui défendent le capitalisme. Juste minable.<br /> Et chapeau à ceux qui ont trouvé tous ces bugs.
cyrano66
Cette article est évidemment écrit pour avoir des réactions comme la vôtre.<br /> Le bug bounty son existence et son principe de rémunération sont un peu plus compliqué que ça.<br /> C’est pas une profession payée à l’heure.<br /> Et les bugs Remontés ne sont pas toujours des failles de sécurité majeures et avérées.<br /> Et citer les témoignages de deux professionnels de la cyber sécurité c’est comme demander à son garagiste ce qu’il pense des vidanges sauvages.<br /> Évidemment qu’ils ne sont pas d’accord avec le principe du bug bounty et de la hauteur de la rémunération, c’est leur fond de commerce.
fat_clubic
La question est juste de savoir si cela coûterait plus à Apple si ces bugs étaient rendus plublics.
jbobby
La recherche de failles n’est pas un simple acte de mécanique parfaitement codifié, ça demande beaucoup de compétence et doit donc être payé comme il se doit. Les experts qui fournissent un travail à forte valeur ajoutée, mais qui ne le font pas ou peu payer (alors que d’autres en vivent) créent une concurrence déloyale et participent à la paupérisation de notre société. Certains se plaignent de la mondialisation et de la concurrence de certains pays de l’est qui fait fermer les usines françaises : là c’est du même acabit.
TAURUS31
Ah tiens, un fanboy Apple
cyrano66
Relisez bien mon commentaire.<br /> Je ne prend pas du tout parti pour Apple.<br /> Je suis critique sur l’article.<br /> Être un peu objectif est plutôt le signe d’un sens critique et d’une ouverture d’esprit.<br /> Et Mon monde à moi ne se divise en deux catégories, Les allergiques à Apple et les fanboys.<br /> Mais visiblement l’article remplit parfaitement sa fonction on dirait. Des que Apple est plus ou moins le sujet d’un article ça bagarre en cours d’école.
sas-seb
Un peu déçu par l’attitude d’Apple qui a largement les moyens de payer. Surferait-elle sur l’Uberisation ? Bon, cette fois-ci elle a rattrapé le coup… Une faute à moitié pardonnée.<br /> Quid de l’IA (Intelligence Artificielle) : que deviendront tous ces «pirates» lorsque l’IA sera capable toute seule d’assumer ce travail de déboggage et de recherche de failles de sécurité ?..
DrCarter95
Purée les crevards !
nnay07
Vous ne payez pas la vidange de votre voiture au prix d’un moteur neuf, même si les dégâts d’une vidange pas faite seraient énormes. Là c’est pareil: la compensation pour avoir trouver les bugs n’a pas à être celle des dégâts qu ils auraient pu provoquer.
GRITI
Mauvais exemple je trouve. La vidange n’aura d"effet que sur une voiture. Et ce n’est pas un souci de conception mais un entretien normal, connu à l’avance par le propriétaire du véhicule. Les bugs eux ont des effets sur des dizaines de millions d’appareils. Appareils qui ont un prix loin d’être anecdotique et appartenant à une société qui veut se donner une certaine image. Rien à voir donc.
cyrano66
@GRITI @nnay07<br /> Vous faites exprès ou vous n’avez pas compris l’histoire du garagiste ?<br /> On s’en fou de la vidange c’est pas une comparaison avec le bug bounty.<br /> Ou vous lisez trop vite ou vous savez pas ce qu’est le bug bounty.<br /> Cet article et son corolaire américain a un objectif :<br /> Dire en substance que Apple exploite des hackers de génie qu’il sous paye.<br /> (Histoire de bien énerver les anti Apple)<br /> Et pour appuyer leurs argumentaires les articles citent des professionnels de la cyber sécurité qui enfoncent le clou en allant dire que ramener à l’heure c’est minable et que Apple a les moyens de se payer des pro.<br /> Hors il s’agit de bug bounty (hacker éthique) déjà ça n’est pas propre à Apple.<br /> Les gros développeurs pour débuguer leurs programmes ont 3 solutions :<br /> 1- leurs propres équipes<br /> 2- des Sociétés externes spécialisées (comme les deux « experts » cités qui ont des sociétés en cyber sécurité)<br /> 3- le programme de bug bounty. Ouvert à tous, ce sont des Des hackers qui « s’amusent » à chercher des bugs et en espèrent des primes.<br /> Le bug bounty a pris une forte ampleur ses dernières années parce que des Sociétés (uber, Facebook, etc.) ont parfois versées des primes colossales. Au point que certains commencent à en faire leur « métier » en free-lance. Sauf que gagner sa vie avec le bug bounty c’est comme espérer la gagner avec l’euro million.<br /> Cyberguerre – 28 Jan 19<br /> Les « bug-bounty », ces chasses aux bugs qui récompensent toujours les mêmes...<br /> Sous des aspects séduisants, méritocratiques, médiatisés, modernes et ouverts à tous, les « bug-bounty » ont de nombreux défauts et des voix se font entendre pour questionner leur effet sur le marché du travail.<br /> Et pour en revenir à l’article. Il prétend que les hackers ont d’abord touchés 51500$ puis après avoir médiatisé leur histoire 288500$.<br /> Bizarrement le Blog du Hacker lui même donne une version différente : « À ce jour, le 8 octobre, nous avons reçu 32 paiements totalisant 288 500 $ pour diverses vulnérabilités.<br /> Cependant, il semble qu’Apple effectue des paiements par lots et paiera probablement plus de problèmes dans les mois suivants. »<br /> Pour conclure je ne défend pas Apple, Mais j’aimerais savoir ce qui motive un manque d’objectivité pareille.<br /> C’est quoi en faite le sujet de l’article ?<br /> Remettre en cause le bug bounty ? Ou faire du click sur le dos d’Apple ?<br /> Mais ça n’est pas vraiment une question je connais déjà la réponse.
Iceslash
Apple sont des radins ! voila pas de bugs mineurs en plus !<br /> C’est quoi ce système, une passoire !.
Voir tous les messages sur le forum

Actualités du moment

Google Assistant va mieux fonctionner avec vos applications sur Android
Vente flash : le PC gamer Lenovo Legion 15,6''FHD avec une RTX 2060 à moins de 1000€
Les AirPods 2 à prix choc pour l'achat d'un iPhone SE 64 Go
Free : vers une fin de service de la Freebox Révolution ?
La carte Fnac+ à moins de 5€ seulement la première année !
Xbox Series X | S : Microsoft dévoile une publicité inédite pour ses consoles
The Medium (aussi) va louper le lancement de la Xbox Series X
Les Fitbit Sense font désormais électrocardiogramme, même en Europe !
Le gouvernement dévoile ses pistes pour réduire l'empreinte environnementale du numérique
Cyberpunk 2077 : un Night City Wire dédié aux véhicules est prévu le 15 octobre
Haut de page